Das Fraunhofer SIT simuliert den Gerichtssaal, damit Forschende nicht vor Gericht enden
Cybersicherheitsforschende bewegen sich häufig in einem rechtlichen Graubereich – zwischen Wissenschaftsfreiheit, Datenschutz und dem sogenannten Hackerparagraphen fehlt es oft an klaren Leitlinien für die Praxis. Das Fraunhofer-Institut für Sichere Informationstechnologie SIT adressiert diese Herausforderung im Rahmen des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE mit einem gezielten Ansatz: realitätsnahen Gerichtssimulationen, in denen echte Richter*innen,Staatsanwält*innen und Verteidiger*innen fiktive Szenarien aus dem Forschungsalltag verhandeln. Die Ergebnisse schaffen konkrete Orientierung für Forschende, machen gesetzliche Lücken sichtbar und liefern wichtigen Input für die Gesetzgebung.
Ein Passwort wie »123456« ist aus technischer Sicht keine Zugangssperre. Wer es in Sekundenschnelle überwinden kann, hat de facto keine Hürde überwunden – der Schutz ist wirkungslos. Für Cybersicherheitsforschende ist das eine Selbstverständlichkeit. Vor Gericht sieht die Lage jedoch anders aus: Juristisch gilt eine Zugangssperre bereits dann als vorhanden, wenn technisch ein Passwort existiert – unabhängig davon, wie trivial es ist. »Juristisch ist damit eine Zugangssperre vorhanden. Technisch gesehen ist das keine Zugangssperre«, bringt York Yannikos, Forscher im Bereich Media Security & IT Forensics am Fraunhofer SIT, das Spannungsfeld auf den Punkt. Und genau dieser Unterschied kann über Verurteilung oder Freispruch entscheiden.
Wie folgenreich solche Differenzen in der Praxis sein können, zeigte die Gerichtssimulation des vergangenen Jahres – Teil einer Reihe, die ATHENE einmal jährlich durchführt. Verhandelt wurde ein Szenario direkt aus dem Forschungsalltag: Eine sicherheitsforschende Person entdeckte, dass ein Onlinedienst die Bilder seiner Nutzer*innen mit einem kaum wirksamen Passwortschutz sicherte. Um die Schwachstelle zu belegen, lud sie mehrere Dutzend Bilder herunter, dokumentierte den Befund und meldete die Lücke dem Anbieter – ein Proof-of-Concept, ohne den eine solche Meldung kaum ernst genommen würde. Die Reaktion des Unternehmens: eine Anzeige. Das simulierte Urteil fiel nicht zugunsten der Forschenden aus – allerdings nicht wegen des Ziels der Meldung, sondern aufgrund kleiner Details der Durchführung: zu viele heruntergeladene Bilder, zu viele Personen mit anschließendem Datenzugriff. Ein Handvoll Beispiele hätte genügt – und der Zugriff darauf hätte streng auf eine Person beschränkt bleiben müssen. Ansonsten wäre sie freigesprochen worden.
Das Szenario ist fiktiv. Die Lektion ist real: Es ist nicht das »Ob« des Forschens, das zählt, sondern das »Wie«. Minimale Datenerhebung und anschließend klare Zugriffsbeschränkungen sind ethisch geboten und rechtlich entscheidend.
Forschung im Graubereich
Das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE ist eines der größten seiner Art in Europa. Es bündelt die Expertise mehrerer Forschungseinrichtungen und Hochschulen, darunter das Fraunhofer SIT in Darmstadt, und adressiert nicht nur technische, sondern auch gesellschaftlich relevante Herausforderungen rund um digitale Sicherheit – zu denen die Frage der Rechtssicherheit für Forschende gehört.
Cybersicherheitsforschung schützt Gesellschaft und Wirtschaft. Sie findet jedoch häufig dort statt, wo das Recht noch keine eindeutigen Antworten bereithält. Wer Sicherheitslücken in Software aufspürt, Passwortschutz auf seine Robustheit testet oder Angriffswerkzeuge im Laborkontext einsetzt, verwendet im Grunde dieselben Methoden wie Angreifer*innen – mit dem entscheidenden Unterschied, dass das Ziel die Verbesserung der Sicherheit ist. Das Grundproblem, das Martin Steinebach, Abteilungsleiter im Bereich Media Security & IT Forensics am Fraunhofer SIT, beschreibt: »Technologie entwickelt sich schneller als die Rechtsprechung. Häufig existiert ein technischer Vorgang bereits, bevor das Gesetz sich damit beschäftigt hat, wie er zu interpretieren ist«.
Hinzu kommt der sogenannte Hackerparagraph: Werkzeuge, die in der Sicherheitsforschung unverzichtbar sind, lassen sich natürlich auch für illegale Zwecke einsetzen. Ohne klar dokumentierten Forschungskontext riskieren Forschende, sich strafbar zu machen. Das Dilemma ist strukturell: Nur wer eine Sicherheitslücke tatsächlich demonstrieren kann, wird ernst genommen – und genau das erfordert Methoden, die rechtlich als ambivalent gelten. Unternehmen, die auf eine Schwachstellenmeldung mit einer Anzeige reagieren, sind keine Seltenheit. Die Folge: Forschende wägen ab, ob sie Sicherheitsprobleme überhaupt melden. Lücken bleiben offen, Systeme bleiben verwundbar. Rechtssicherheit ist damit nicht nur ein akademisches Anliegen, sondern eine gesellschaftliche Notwendigkeit.
Echt genug, um zu lernen: Die Idee der Simulationsstudie
Einmal im Jahr bringt ATHENE echte Richter*innen, Staatsanwält*innen und Rechtsanwält*innen zusammen, um ein fiktives Szenario aus dem Cybersicherheitsbereich so originalgetreu wie möglich zu verhandeln. Die Grundidee: Wenn es an realen Präzedenzfällen mangelt, schafft man sie – mit echter juristischer Expertise, aber ohne rechtliche Konsequenzen.
Der Ablauf entspricht einer echten Gerichtsverhandlung im Schnelldurchlauf: Anklageschrift, Sachverhalt, Zeugen- und Sachverständigenanhörungen – alle Beteiligten sind vorab eingearbeitet, Informationen werden gezielt dosiert, ganz wie in einem realen Verfahren. Am Ende stehen Plädoyers, ein Urteil und besonders wichtig: eine ausführliche Begründung. Diese macht die Abwägungslogik der Justiz für Forschende greifbar und in künftiges Handeln übersetzbar. Ende dieses Monats findet die nächste Simulation statt; York ist erneut als Sachverständiger dabei.
Mehr als Präzedenzfall: Impulsgeber für die Gesetzgebung
Der Nutzen der Simulationsstudien geht über die Orientierung für einzelne Forschende hinaus. Sie sind vor allem ein Instrument zur Identifikation gesetzlicher Lücken. Wenn alle Beteiligten darin übereinstimmen, dass ein bestimmtes Verhalten strafwürdig ist, aber kein passendes Gesetz existiert, wird diese Lücke sichtbar – und kann dann gezielt an Gesetzgeber*innen weitergegeben werden.
Besonders deutlich wird das an einem Beispiel, das Martin und sein Team derzeit beschäftigt: Was passiert, wenn ein*e Nutzer*in explizit volljährige Personen für KI-generierte erotische Bilder verlangt, das System aber Inhalte erzeugt, die Alterserkennungssoftware als minderjährig einstuft? Wer trägt die Verantwortung? Solche Fragen werden sich in den kommenden Jahren in der Rechtspraxis stellen – Simulationsstudien können helfen, Antworten zu entwickeln, bevor echte Verfahren über das Schicksal Einzelner entscheiden.
Was wir erforschen, landet vor Gericht
Neben den jährlichen Simulationen bringen York und Martin ihre Expertise bereits heute in echte Gerichtsverfahren ein. Das Fraunhofer SIT wird regelmäßig von Gerichten als sachverständige Institution für IT-Sicherheitsfragen angefragt – und damit fließt das, was im Labor erforscht wird, direkt in die Rechtsprechung ein. Gerichte können mithilfe von Sachverständigen aus der Forschung technologisch fundierter urteilen: Sie halten Schritt mit einer digitalen Welt, die dem Gesetz oft deutlich voraus ist.
Der Weg in den Gerichtssaal ist dabei weniger formell als man vermuten würde. Für hochspezialisierte Fragestellungen – digitale Forensik, Deepfakes, Schwachstellenanalyse – gibt es in Deutschland nur eine überschaubare Zahl ausgewiesener Expert*innen. Gerichte suchen deshalb nicht zwingend nach zertifizierten Gutachter*innen, sondern nach Menschen, die sich nachweislich mit einem Thema auseinandergesetzt haben.
Dass York schließlich auch als Sachverständiger in die Simulationsstudien einbezogen wurde, dürfte kein Zufall gewesen sein – sondern eine logische Folge: Wer weiß, wie echte Gerichtsverfahren funktionieren, kann eine Simulation überzeugend gestalten. Und wer eine Simulation durchläuft, ist besser darauf vorbereitet, sich im Ernstfall zu behaupten. Reale Verfahren und Simulation bedingen sich gegenseitig – das eine informiert das andere.
Verantwortungsvolle Forschung als gesellschaftlicher Auftrag
Letztlich verfolgen die Simulationsstudien ein Ziel, das weit über unmittelbare Rechtssicherheit hinausgeht: Sie schaffen die Voraussetzungen dafür, dass Cybersicherheitsforschung gesellschaftlich akzeptiert und nachhaltig betrieben werden kann. Eine Forschungslandschaft, in der Sicherheitslücken aus Angst vor rechtlichen Konsequenzen nicht gemeldet werden, schadet allen: Unternehmen bleiben verwundbar, Nutzer*innen sind gefährdet, der Fortschritt bei sicheren digitalen Systemen verlangsamt sich.
Die Simulationsstudien von ATHENE sind ein konkreter Beitrag dazu, diesen Zustand zu verändern – durch Klarheit statt Graubereich, durch Dialog statt Misstrauen und durch Orientierung statt Unsicherheit. Denn nur wer die Grenzen des rechtlich Erlaubten kennt und versteht, warum sie dort gezogen werden, wo sie gezogen werden, kann verantwortungsvoller forschen – und die digitale Welt für alle ein Stück sicherer machen.
(CDe)
Experte
Martin Steinebach
Fraunhofer-Institut für Sichere Informationstechnologie (SIT)
Experte
Yannikos York
Fraunhofer-Institut für Sichere Informationstechnologie (SIT)